{"id":224418,"date":"2019-10-30T00:11:00","date_gmt":"2019-10-29T23:11:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=224418"},"modified":"2022-08-17T11:04:24","modified_gmt":"2022-08-17T09:04:24","slug":"45-000-android-gerte-persistent-mit-xhelper-malware-infiziert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/10\/30\/45-000-android-gerte-persistent-mit-xhelper-malware-infiziert\/","title":{"rendered":"45.000 Android-Ger&auml;te persistent mit xHelper-Malware infiziert"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/android.jpg\" width=\"58\" align=\"left\" height=\"58\"\/>Seit ca. 6 Monaten geht ein Android-Trojaner um, der mittlerweile 45.000 Android-Ger\u00e4te infiziert hat. Besonders fies: Der Trojaner mit dem Namen xHelper scheint auch einen Factory-Reset zu \u00fcberstehen. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg07.met.vgwort.de\/na\/ee8ea90edc4e49fc98cae30657662f92\" width=\"1\" height=\"1\"\/>Ich bin \u00fcber einen Tweet von Catalin Cimpanu auf das Thema aufmerksam geworden, wobei er die Details in <a href=\"https:\/\/www.zdnet.com\/article\/new-unremovable-xhelper-malware-has-infected-45000-android-devices\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem ZDNet-Artikel<\/a> ver\u00f6ffentlicht hat. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">New 'unremovable' xHelper malware has infected 45,000 Android devices<\/p>\n<p>&gt; Appeared in March<br \/>&gt; 32k victims by August<br \/>&gt; 45k by October<br \/>&gt; Trojan reinstalls itself even after factory resets<a href=\"https:\/\/t.co\/AXNWJ7kMa6\">https:\/\/t.co\/AXNWJ7kMa6<\/a> <a href=\"https:\/\/t.co\/HCDXR5ip7C\">pic.twitter.com\/HCDXR5ip7C<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1189211811494711297?ref_src=twsrc%5Etfw\">October 29, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Der Android-Trojaner mit dem Namen xHelper wurde erstmals im M\u00e4rz 2019 entdeckt und infiziert seit dieser Zeit immer weiter Android-Ger\u00e4te. Bis August 2019 war die Infektionsrate aber langsam, <a href=\"https:\/\/web.archive.org\/web\/20211022074220\/https:\/\/blog.malwarebytes.com\/android\/2019\/08\/mobile-menace-monday-android-trojan-raises-xHelper\/\" target=\"_blank\" rel=\"noopener noreferrer\">Malwarebytes kam<\/a> damals auf&nbsp; etwas mehr als 32.000 infizierte Android-Ger\u00e4te. Im Oktober <a href=\"https:\/\/www.symantec.com\/blogs\/threat-intelligence\/xhelper-android-malware\" target=\"_blank\" rel=\"noopener noreferrer\">gibt Symantec jetzt an<\/a>, dass bereits 45.000 Infektionen ermittelt wurden. <\/p>\n<h2>Installation \u00fcber Drittanbieter-Apps<\/h2>\n<p>Laut Malwarebytes sind sogenannte \"Web Redirects\" die Quelle dieser Infektionen. Diese leiten Benutzer auf Webseiten, auf denen Android-Apps angeboten werden. Auf diesen Seiten erfahren die Benutzer, wie sie inoffizielle Android-Anwendungen am Google Play Store vorbei laden k\u00f6nnen. In den Apps ist aber der Code versteckt, der sp\u00e4ter den xHelper-Trojaner herunterl\u00e4dt.<\/p>\n<p>Die gute Nachricht ist, dass der Trojaner bisher wohl keine destruktiven Aktionen durchf\u00fchrt. Laut Malwarebytes und Symantec zeigt der Trojaner meist aufdringliche Popup-Werbung und Benachrichtigungs-Spam. Die Anzeigen und Benachrichtigungen leiten die Benutzer zum Google Play Store weiter. Dort werden die Opfer gebeten, andere Apps zu installieren. Das ist ein Ansatz, mit dem die xHelper-Hinterm\u00e4nner Geld mit Pay-per-Install-Provisionen verdienen.<\/p>\n<h2>Fies: Trojaner ist persistent<\/h2>\n<p>Das Fiese an diesem Trojaner ist aber, dass er nicht wie die andere Android-Malware funktioniert. Sobald der Trojaner \u00fcber eine App Zugriff auf ein Android-Ger\u00e4t erh\u00e4lt, installiert sich xHelper als eigenst\u00e4ndiger Dienst. Selbst wenn die urspr\u00fcngliche App mit dem Downloader deinstalliert wird, verbleibt xHelper weiter auf dem Android-Ger\u00e4t. Er zeigt weiterhin Popups und Benachrichtigungs-Spam an.<\/p>\n<p><img decoding=\"async\" alt=\"xhelper-service.png\" src=\"https:\/\/web.archive.org\/web\/20201217212755\/https:\/\/zdnet1.cbsistatic.com\/hub\/i\/r\/2019\/10\/29\/acafce13-b6e7-4c99-9139-073c2bc51883\/resize\/370xauto\/94cf64b33decdc50766c1438d76907a1\/xhelper-service.png\" width=\"370\"\/>  <\/p>\n<p>Quelle: Malwarebytes  <\/p>\n<p>ZDNet schreibt, dass das Entfernen des xHelper-Dienstes im Apps-Bereich des Android-Betriebssystems nicht funktioniere. Denn der Trojaner installiert sich jedes Mal neu, auch wenn der Benutzer einen Factory-Reset des gesamten Ger\u00e4ts durchf\u00fchrt. Wie xHelper das anstellt und ein Factory-Reset \u00fcberlebt, ist immer noch ein R\u00e4tsel. Sowohl Malwarebytes als auch Symantec geben an, dass xHelper keine Systemdienste oder Systemanwendungen manipulieren.<\/p>\n<p>In einigen F\u00e4llen geben Benutzer an, dass sich die Einstellung selbst dann, wenn sie den xHelper-Dienst entfernt und dann die Option \"Apps aus unbekannten Quellen installieren\" deaktiviert haben, immer wieder einschaltete und das Ger\u00e4t innerhalb weniger Minuten nach der Reinigung neu infiziert wurde.<\/p>\n<p>In den letzten Monaten haben sich viele Benutzer \u00fcber den nahezu \"unentfernbaren\" Trojaner xHelper auf Seiten wie <a href=\"https:\/\/www.reddit.com\/r\/antivirus\/comments\/bj6isa\/xhelper_keeps_installing_itself_on_android_phone\/\" target=\"_blank\" rel=\"noopener noreferrer\">Reddit<\/a>, Google Play Help (<a href=\"https:\/\/support.google.com\/googleplay\/thread\/5398460?hl=en\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> und <a href=\"https:\/\/support.google.com\/googleplay\/thread\/10807377?hl=en\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a>) oder in anderen technischen Support-Foren beschwert. Einige Benutzer berichteten, dass sie mit einigen kostenpflichtigen Versionen von mobilen Antivirenl\u00f6sungen erfolgreich waren. Andere Nutzer hatten jedoch keinen Erfolg mit diesem Ansatz.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Honestly interested into a how-to remove guide.<\/p>\n<p>Lots of people complaining, no answers<\/p>\n<p>1. <a href=\"https:\/\/t.co\/eqCmMwzJii\">https:\/\/t.co\/eqCmMwzJii<\/a><\/p>\n<p>2. <a href=\"https:\/\/t.co\/YA4rA6hKiP\">https:\/\/t.co\/YA4rA6hKiP<\/a><\/p>\n<p>3. <a href=\"https:\/\/t.co\/spML8lO7df\">https:\/\/t.co\/spML8lO7df<\/a><\/p>\n<p>4. <a href=\"https:\/\/t.co\/lKR2TKBj4h\">https:\/\/t.co\/lKR2TKBj4h<\/a> <a href=\"https:\/\/t.co\/AWfH5w5Y04\">pic.twitter.com\/AWfH5w5Y04<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1189213313311412225?ref_src=twsrc%5Etfw\">October 29, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script>  <\/p>\n<p>In einem Blogbeitrag schreibt Symantec, dass sich der Trojaner in st\u00e4ndiger Entwicklung befindet. Es werden regelm\u00e4\u00dfig neue Code-Updates herausgegeben, die erkl\u00e4ren, warum einige Antivirenl\u00f6sungen es schaffen, xHelper in einigen F\u00e4llen, aber nicht in sp\u00e4teren Versionen zu entfernen. Es scheint einen Kampf zwischen der xHelper-Crew und mobilen Antivirenl\u00f6sungen zu geben, bei dem jeder versucht, sich gegenseitig zu \u00fcbertreffen. Details finden sich <a href=\"https:\/\/www.symantec.com\/blogs\/threat-intelligence\/xhelper-android-malware\" target=\"_blank\" rel=\"noopener noreferrer\">bei Symantec<\/a> sowie <a href=\"https:\/\/www.zdnet.com\/article\/new-unremovable-xhelper-malware-has-infected-45000-android-devices\/\" target=\"_blank\" rel=\"noopener noreferrer\">im ZDNet-Artikel<\/a>. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Seit ca. 6 Monaten geht ein Android-Trojaner um, der mittlerweile 45.000 Android-Ger\u00e4te infiziert hat. Besonders fies: Der Trojaner mit dem Namen xHelper scheint auch einen Factory-Reset zu \u00fcberstehen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,426],"tags":[4308,4328],"class_list":["post-224418","post","type-post","status-publish","format-standard","hentry","category-android","category-sicherheit","tag-android","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224418","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=224418"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224418\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=224418"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=224418"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=224418"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}